Professional Documents
Culture Documents
(MKA) BackDoor Nedir
(MKA) BackDoor Nedir
(MKA) BackDoor Nedir
Türkçede Arka Kapı olarak geçen Backdoor kelimesine uzak olmadığımız gibi yakında değiliz. Arka
Kapı terimi Matrixfilminde ki Seraph karakterinin anahtarla açtığı kapılardan ileri gitmiyor. Bunun
dışında farklı filmlerde geçen "arka kapıdan sisteme sızdım" ifadesi ise kalıplaşmış durumda, bir
anlam ifade etmiyor.
Nedir Bu BackDoor?
Yukarıda da belirttiğimiz gibi BackDoor, Türkçede "Arka Kapı" anlamına gelmekte. Yazılımsal
sistemlerde kasıtlı olarak yada bilmeyerek oluşturulan açıklara ve sistem girişlerine izin veren her türlü
ek yazılımlara verilen genel isimdir. Temel mantık hep aynıdır. Hedef sistem(ler) üzerinde bir arka
kapı açmak ve bu arka kapıdan sisteme girişlere izin vermektir.
Örneğin SQL Açığı. URL üzerinde ID değerinden sonra tırnak işareti konularak SQL sorguları
manipüle edilir ve ekrana hata mesajı bastırılır. Bundan sonra SQL sorguları kullanılarak açık
üzerinden çeşitli verilere ulaşılabilmektedir (Admin/User tablosu, özel mesajlar, kayıtlı özel
metinler vs.). Bu bağlamda SQL açığının neden olmuş olduğu güvenlik sorunu bize bir arka kapı
oluşturmaktadır.
Bunun yanında hazır sistemlerin tema ve eklentilerinde bulunan güvenlik riskleri de sistem üzerine
açıklara neden olmaktadır. Bu açıkların bazıları kodlamada ki hatalardan kaynaklansa da büyük
çoğunluğunda kasıtlı olarak arka kapılar yerleştirilmiştir (özellikle warez tema ve eklentilerde).
Örneğin bir WordPress temasına eklenen küçük (ve gizli) bir giriş sistemi ile saldırganlar siteye
sızabilir. Yada vBulletin forum sistemi için yazılmış bir eklentinin içerisinde ki tanımlanmamış boş bir
değişken RFI açığına sebep olabilir ve bu boş değişken bir shell adresi ile doldurulabilir.
Web sistemlerinde ki arka kapıların egemenliği gerçekten büyük olsa da asıl büyük payı işletim
sistemleri ve tarayıcı tabanlı olmayan programlar almaktadır. Bu bağlamda arka kapılara en güzel
örnek RAT ve Keylogger yazılımlarıdır. Piyasada önemli bir yere sahip olan Keyloggerlar kısmi arka
kapı özelliği gösterir. İsminin anlamı Tuş Kaydedici (key-logger) olan bu yazılımlar klavyede girilen
tuşları kaydetme, belirli aralıklar ile ekran görüntüsü alma, kayıtlı şifreleri sistemden kopyalama ve
bunları belli aralıklar ile istenilen hedefe yükleme yada gönderme görevini üstlenirler. Ayrıca önceden
yapılan ayarlar ile bilgisayarda çeşitli yazılımların çalışmasını engelleyebilirsiniz (Kayıt defterini ve
görev yöneticisini açmayı engelleme gibi). Ancak bir kez yüklendikten sonra ayarlarda değişiklik
gerçekleşmeyecektir.
Piyasada arka kapı oluşturmak için kullanılan bir diğer yazılım ise RATlardır. Türkçede Trojan/Truva
Atı ismiyle de geçmektedir. Açılımı Rxxx Axxx Trojan olan bu yazılımlar, saldırgan tarafından
oluşturulan server hedef bilgisayarda çalışmaya başladığı andan itibaren bilgisayar tamamen
saldırganın yönetimine girmektedir. Saldırgan tarafından anlık olarak tuşlar kaydedilebilir, bilgisayar
izlenebilir, şifreler alınabilir, dosya transferleri yapılabilir, programlar engellenip kaldırılabilir kısacası
kullanıcının o an yapabildiği her şey saldırgan tarafından da yapılabilmektedir. RAT yazılımları tam
manası ile arka kapı sınıfına girmektedirler. Bu tür yazılımlar portlar ile haberleşirler. Üstelik kayıt
defterine eklenen girdiler sayesinde bilgisayar her açıldığında kendi kendine başlayabilirler.
Aşağıda bir FTP Server yazılımı olan VSFTPD isimli yazılımın 2.3.4. sürümünde ki bir açık sebebi ile
hedef sisteme doğrudan sızmaya izin verecek bir exploit görünmektedir. Bu güzel bir örnek teşkil
etmektedir.
Metasploit Framework üzerinde buna benzer çeşitli exploitler bulunmaktadır. Bunlarda yine aynı
şekilde en iyi örneklerdir. Aşağıda ise bir hazır forum sistemi olan vBulletin yazılımının bir
sürümünde, install/upgrade.php dosyasından kaynaklı bir açık oluşmuştur ve bu açık forumda admin
yetkisine sahip bir kullanıcı oluşturulabilmektedir. Böylece vBulletin yazılımının açığı sayesinde bir
bakıma izinsiz kullanıcı oluşturarak sisteme arka kapıdan giriş yaptık. Metasploit
Framework üzerindesearch backdoor diyerek daha yüzlerce exploite ulaşabilirsiniz.
Web Uygulamalarında ki Böcek: CryptoPHP
WordPress, Joomla ve Drupal gibi hazır sistemleri kullanıyor üzerine bir de warez tema ve eklenti
kullanıyorsanız bu açığın sizi ilgilendirme riski çok yüksek. CryptoPHP Backdoor'u belirttiğimiz hazır
sistemler yolu ile büyük sunuculara sızmak için yazılmış yazılımdır. Tam manası ile ufak bir resim
dosyasıdır ve genel ismi social.png dir. Kullandığınız tema veya eklentinin bir satırında diyelim ki
aşağıda ki koda rastladınız.
PHP Kod:
Doğal olarak şüphe duyarsınız ki haklısınız da. Saldırganlar warez olarak dağıtılan tema yada
eklentilerin içerisinde bu şekilde kodları yükler ve CryptoPHP sistemde işlemeye başlar. Bu açık ile
sistemde mail kontrolü, sunucu iletişimini ele geçirme, manüel olarak kontrol etme gibi yetkileri olur.
Alıntı:
~# cd /home
~# find . \( -name \*.jpg -or -name \*.png -or -name \*.jpeg -or -name \*.gif -or -name \*.bmp \) -type f -
exec file {} \; >> log.txt
Bu komutu çalıştırdıktan sonra /home dizininde log.txt diye bir dosya olacaktır, bunu bilgisayarımıza
indiriyoruz veSublime-text veya NotePad++ gibi gelişmiş bir not defteri programı ile acıyoruz.
Açtığımız anda bir arama yapmamız gerekiyor. Aradığımız kelime PHP olacaktır (harfe duyarlı olsun,
“Case sensitive”).
Sonuçlarımızda normal bir resim dosyası “file.png : PNG image data, 28 x 28, 8-bit/color RGBA, non-
interlaced” diye görünür fakat CryptoPHP backdoor‟u ise “social.png: PHP script text” olarak gösterir.
Bu sayede varlığından haberdar olabiliriz.
Görüldüğü üzere gelen bağlantıyı netcat bize sundu. Şimdide çalışıp çalışmadığını kontrol edelim
herhangi bir siteye ping gönderelim.
Görüldüğü gibi hedef makina üzerinden ping gönderdi. Bununla yapılabilecek o kadar çok şey var ki.
Oysa bu basit bir arka kapı örneğidir. Ve tabi ki bunu .py uzantısı ile değil de .exe uzantısı ile
kullanmanızı öneririm. Nedeni açık değil mi? Aynı zamanda yazdığınız bu programı kayıt defterine
eklemeniz sizin için en mantıklı olandır. Şayet kurban bu dosyayı bir kez kullanıp bir daha çalıştırmaya
bilir. Ancak kayıt defterine eklenirse bilgisayar her açılıştı bizim dosyamız da kendi kendine
çalışacaktır.